Похакані сайти №132

22:47 03.02.2011

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

  • http://webin.com.ua (хакером Stupid) - 16.01.2011, зараз сайт вже виправлений адмінами
  • http://lntc.biz (хакером Stupid) - 29.01.2011, зараз сайт вже виправлений адмінами
  • http://hofkarate.org (хакером HEXB00T3R) - 28.01.2011, зараз сайт закритий на реконструкцію
  • http://uk.banksale.com.ua (хакером Brunei)
  • http://steelfreedom.org.ua (хакером Lekosta) - 01.2011, зараз сайт вже виправлений адмінами

8 відповідей на “Похакані сайти №132”

  1. Дмитро каже:

    Точности заради маю сказати, що злам відбувся десь між 14.01 чи 18.01 - коли наслідки зламу були усунуті, - найімовірніше 16.01.

    До речі, на тому ж IP hostpro була також зламані тим же гакером ще кілька плотів Wordpress.

  2. Дмитро каже:

    Ще одне - скажіть будьласка, чим ви додавали оці пички під полем введення коментара? Якась причепа (plugin)?

  3. MustLive каже:

    Дмитро

    Спасибі, що уточнив дату. Бо я намагаюся публікувати більш-менш точні дані про дати інцидентів безпеки на сайтах.

    Тобі варто щоденно слідкувати за своїм сайтом :-) (щоб точно знати, коли на ньому щось трапиться). Також існують для цього спеціальні веб сервіси - для моніторинга сайтів. Зокрема в 2008 році я планував створити подібний комерційний сервіс, що слідкував би за сайтами клієнтів та повідомляв би про будь-які інциденти (взломи, розміщення вірусів, тощо).

    Також після будь-яких інцидентів не забувай заходити по ftp - по даті змінених файлів зможеш виявити дату і час інциденту.

    До речі, на тому ж IP hostpro

    Так, я звернув увагу в твоєму записі про це. І планую дослідити це питання, щоб згадати в новинах і про інших жертв цього мережевого хулігана.

    Якщо всі сайти на одному і тому самому сервері, то це міг бути взлом одного сайта, а потім через “взлом сервера” взломали всіх інших - тобто через “слабку ланку”. В такому випадку є частина вини і на провайдереві, що він має діряве ПЗ на сервері, через яке змогли дістатися від одного сайта до інших (провайдер мав зробити все, щоб цього не допустити). Про випадки взломів багатьох сайтів на одному сервері я вже неодноразово писав. В такому випадку подумай чи варто тобі платити гроші такому хостереві, що тобі в “пакеті послуг” ще й взломи твого сайту пропонує :-) .

  4. MustLive каже:

    чим ви додавали оці пички під полем введення коментара?

    Так саме plugin (причепа).

    Зветься він Smiley Javascript Buttons. Хороший плагін для додавання емоцій в коментарі ;-) .

  5. Дмитро каже:

    Щодо їнших потерпілих от ще пару http://www.4polus.com/ - досі похаканий, і http://kyzmi4i.com/ - аіе цей нульовий, практично без наповнення - він виправлений. На й іще vhodv здається - але про нього ви вже писали.

    Час зламу можна уточнити за записами подійників (log’ів - уже даруйте, маю таку примху підшукувати або вигадувати українські відповідники до англійських термінів), але копирсатися в них - задача не з приємних.

    Щодо гостера, ну, що сказати, я таки ввжав, що hostpro має непогану репутацію, тим паче що тарифи справді не з дешевих - то за таких обставин він мав би подбати про питання безпеки. Дуже не хотілося б помилятися.

  6. MustLive каже:

    Щодо їнших потерпілих

    Разом з твоїм сайтом всього був взломаний 21 сайт на сервері HostPro, як я написав в новинах.

    Що я виявив сьогодні, під час досліджень похаканих сайтів на сервері HostPro. Дату взлому більшості сайтів я також виявив (окрім твого, але я взяв 16 число, виходячи з загальної картини по взломам інших сайтів). Зазначу, що я також виявив, що саме цей сервер HostPro, де хоститься твій сайт, вже був зломаний в 2009 році :-) (так що ти “вдалий” хостінг обрав).

    Дуже не хотілося б помилятися.

    Спочатку я зробив лише припущення щодо цього хостера, що у випадку якщо багато сайтів на одному сервері похакано, то тут також винний хостер. Але зараз, провевши дослідження, я кажу напевно - вина HostPro безсумнівна.

    Враховуючи велику кількість взоманих сайтів та інші фактори - це без сумніву взлом сервера. Тому провина твоя і твого сайту (а я вже зазначав, що навіть після оновлення WP, в тебе дірок вистачає) в даному “масовому інциденті” менша, ніж це могло здатися на початку. Тому що основна вина лежить на сайті “слабій ланці” та хостерові.

  7. MustLive каже:

    Дмитро

    Окрім масового взлому сайтів на сервері HostPro, де також був і твій сайт, нещодавно відбувся аналогічний масовий дефейс сайтів на сервері Hvosting. Так що подібні інциденти в Уанеті трапляются регулярно (і я ще напишу про інші випадки).

    Час зламу можна уточнити за записами подійників (log’ів

    Так, в логах це можна виявити і ти б міг їх викачати та проаналізувати (як навчишся робити аналіз логів, то він не буде визивати у тебе негативних емоіцій і не буде забирати багато часу). Бо в логах можна знайти як час взлому, так і докази того, чи був твій сайт взломаний через дірки на ньому, чи став жертвою масового взлому (що стався на сервері HostPro). Дірок на твоєму сайті вистачає, тому він міг і все ще може бути взломаний окремо (і без масових дефейсів), але по логам це можна прояснити.

  8. Дмитро каже:

    Так, дякую за сповіщення, але я вас читаю по RSS. Зараз оце саме наміряюся написати в підтримку HostPro, щоби спитати їх, що вони скажуть відносно вашого допису. Коли вони нададуть відповідь, я вам повідомлю.

    Мені все ще одне питання хочеться вам задати. Яку мотивацію має цей гакер? Навіщо він це робить? Що він із того має - задоволення? Гроші? Може то якась помста? Я просто ніяк не можу збагнути психологію того типця, що згоден витрачати час, щоби шкодити комусь, при цьому без якоїсь користі для себе.

    І ще дякую вам за роботу й за роз’яснення.

Leave a Reply

You must be logged in to post a comment.